Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

Ransomware-Lehren von Julius Caesar

By:
Angela Heindl-Schober
June 28, 2016

In jungen Jahren wurde Julius Caesar von Sizilianischen Piraten als Geisel genommen, die 20 Zentner Silbermünzen als Lösegeld für seine Freilassung forderten. Julius Caesar konnte die Piraten jedoch davon überzeugen, dass er mehr wert war und sie daher 50 Zentner Silbermünzen verlangen sollten. Dem stimmten sie zu und glaubten fortan, dass Caesar ihnen überlegen war. Dies machte er sich zunutze: So trat er als ihr Anführer auf, lehrte sie im Kampf und las ihnen Gedichte vor. Irgendwann tauchten schließlich seine Gehilfen mit dem geforderten Silber auf und er wurde freigelassen. Caesar aber schwor, sich das Geld wieder zurückzuholen und alle Piraten zu töten. Und er setzte alles daran, sein Versprechen einzulösen. Caesar behielt also einen kühlen Kopf – während seiner Geiselhaft und danach – und konnte schließlich sein Eigentum wieder zurückholen, weil er einen klaren Plan und eine Strategie verfolgte.

Cyberkriminelle haben heute die Rolle von modernen Piraten eingenommen: Mithilfe von Ransomware nehmen sie wertvolle Daten von Unternehmen und Privatpersonen als Geisel. Allerdings ist es den Unternehmen durch die richtigen Strategien und bereits vorhandene Werkzeugen möglich, Ransomware-Angriffe gut zu überstehen und sich davon zu erholen.

Ratschläge für den richtigen Umgang mit Cyberkriminalität

Ransomware ist allgegenwärtig und mittlerweile ist kein Industriezweig mehr vor einem Angriff gefeit: Polizeibehörden, Krankenhäuser, Non-Profit-Organisationen, Banken und viele andere wurden bereits Opfer eines solchen Angriffs. Dieser spezielle Malware-Typ ermöglicht es Cyberkriminellen, die Schritte vom Datendiebstahl wie beispielsweise von Kreditkartennummern bis zu deren Verkauf auf dem Schwarzmarkt zu überspringen. Das vereinfacht die Forderung nach Lösegeld ungemein – ganz nach dem Motto: „Bezahle mich direkt!“

Unternehmen, die über keinerlei Form des Daten-Backups (zum Beispiel Up-to-date-Backups) verfügen, geraten bei einem Ransomware-Angriff schnell in ein Dilemma: Entweder verlieren sie wertvolle Daten oder sie zahlen das geforderte Lösegeld. So ist es nicht verwunderlich, dass laut US Justizministerium allein im Jahr 2015 mehr als 25 Millionen Dollar von Unternehmen an Hacker flossen. Indem Cyberkriminelle erfolgreich Jagd auf Daten, Datenbanken und andere wertvolle Unternehmensinformationen machen, können sie enorme Summe an Lösegeld fordern. Angriffe wie diese setzen die Opfer oft so sehr unter Druck, dass sie selbst horrende Summen zahlen; und oft bringen Cyber-Attacken dieser Art sogar das komplette operative Geschäft zum Erliegen.

Ransomware-Überlebenspaket: Daten-Backup und Reaktionsstrategien bei Angriffen

Ein zuverlässiges Backup- und Wiederherstellungssystem bietet eine hervorragende Absicherung gegen Ransomware. Zu nennen wären hier Hot Backups, die für eine Datenspeicherung während des laufenden Betriebs stehen, oder Cold Storage, also die Datenspeicherung an versteckten Stellen des Netzwerks, sowie ausgelagerte cloudbasierte Backups mit Versionskontrolle. Ein weiterer wichtiger Punkt beim Umgang mit Ransomware ist die richtige Reaktion nach einem Angriff. Denn hat sich die Malware erst einmal in einem Host festgesetzt oder bereits mit der Datenverschlüsselung begonnen, zählt jede Sekunde, um den Schaden kleinzuhalten. Die Verwendung von Canary Files zur Identifizierung von Ransomware-verdächtigtem Verhalten ist eine weitere effektive Gegenmaßnahme. Die Erkennung von gerade stattfindenden Ransomware-Angriffen oder aber die Identifizierung eines Hosts, der bereits angegriffen wird, sind entscheidende Schritte, um der Gefahr Herr zu werden. Die nötigen Informationen hierzu finden sich in diesen Fällen in den Netzwerk Paketen.

Ransomware im eigenen Netzwerk erkennen

Ransomware versucht, in kürzester Zeit möglichst viele Informationen zu verschlüsseln – Daten, Verzeichnisse, Laufwerke und andere Zugänge; und das am besten, noch bevor dieser Vorgang von den IT Security-Teams unterbrochen werden kann. Derlei unnachgiebiges Verhalten lässt auf einen Ransomware-Angriff schließen – sofern man weiß, wie und wonach man Ausschau halten muss. Vectra hat eine algorithmusbasierte Methode entwickelt, die den Netzwerktraffic analysiert und auf typisches Ransomware-Verhalten hin untersucht. Dadurch ist die Lösung in der Lage, die Aktivität mit dem höchsten Gefahrenpotenzial zu erkennen.

Diese neuartige Form der Ransomware- Erkennung ist Teil der Vectra X-Series-Plattform ab Version 2.5 und konnte bereits erfolgreich Angriffe bei Kunden identifizieren.

Ransomware in der realen Welt

Ein erst kürzlich vollzogener Ransomware-Angriff auf einen Kunden von Vectra aus dem Gesundheitswesen verdeutlicht den Mehrwehrt, den die Analyse und Auswertung von Hackerverhalten mit sich bringt. Das von Vectra beobachtete Verhalten wird in Abbildung 1 veranschaulicht. Eine Zusammenfassung der Ergebnisse:

Abbildung 1. Vectra Host Page während eines gerade stattfindenden Ransomware-Angriffs auf einen Kunden. Vectra hat basierend auf dem Hackerverhalten drei Erkennungen ausgelöst. Beginnend mit Command-and-Control bis hin zu den ersten Phasen der Daten-Verschlüsselung 50 Minuten später.

  • 11:01 – Eine Locky Ransomware wurde auf einen Host heruntergeladen. Locky nimmt Verbindung zu seinem Command-and-Control-Server auf und verbindet sich erfolgreich mit diesem.Vectra erkennt die Kommunikation zu einer auffälligen Internet-Domäne, wenn diese über einen Algorithmus automatisch generiert wurde.
  • 11:16 – Der infizierte Host leitet einen internen IP-Scan ein, indem er über den Port 445 (üblicherweise für SMB-File-Sharing verwendet) Reconnaissance auf dem Netzwerk vornimmt. Locky sucht nach hochsensiblen Daten, um diese zu verschlüsseln.Vectra löst eine Darknet-Scan-Erkennung aus, sobald registriert wird, dass der Host Ausschau nach IP-Adressen hält, von denen er eigentlich wissen müsste, dass diese gar nicht existieren.
  • 11:53 – Locky beginnt, Daten in einem Ordner innerhalb des Netzwerkes zu verschlüsseln.Vectra löst eine Ransomware-Erkennung aus, die den Angriff und die betroffenen Dateien lokalisiert.
  • 12:30 – Der Kunde bestätigt, dass der betroffene Host vom Netzwerk getrennt und unmittelbar daraufhin analysiert wird.

In dem vorliegenden Fall hat Vectra innerhalb von 52 Minuten zweimal angeschlagen – noch vor der Verschlüsselung von Dateien. In einer Situation, in der jede Sekunde zählt, sind genau diese 52 Minuten Vorwarnzeit ausschlaggebend, um einen Ransomware-Angriff erfolgreich abzuwehren. Ein solches Vorkommnis ist kein Einzelfall. Vectra hat bereits Ransomware-Angriffe auf andere Kunden identifiziert, indem es Command-and-Control sowie anderes verdächtiges Verhalten erkannt hat, das als typischer Vorbote eines Ransomware-Angriffs gilt.

Die Gefahr durch Ransomware bleibt weiterhin allgegenwärtig – so dass Unternehmen entsprechend vorsorgen müssen. Zuverlässige Backup- und Erkennungsmechanismen sowie entsprechende Handlungsstrategiensinddabei ausschlaggebend. Das Erkennen von auffälligem Verhalten, das auf Ransomware oder den unberechtigten Zugriff auf Daten schließen lässt, ist essenziell, um einen Angriff zu unterbinden, noch bevor ein größerer Schaden entstehen kann.

Weitere Informationen zur Ransomware-Ausbreitung und Lösungswege zur Abwehr dieses Malware-Typs finden Sie hier.

About the author

Angela Heindl-Schober

Angela Heindl-Schober is EMEA Director Field & Channel Marketing at Vectra. For 19 years she works with great passion in the IT- and technology-focused marketing of US IT companies. In leading positions such as Riverbed, Infor and Invensys Software Systems, Angela Heindl-Schober has successfully developed and implemented marketing strategies and campaigns across EMEA. She was also responsible for telemarketing, event and digital marketing and was instrumental in brand positioning.

Author profile and blog posts

Most recent blog posts from the same author

Infrastructure

Neue Lösung von Vectra Networks schließt Sicherheitslücken in Rechenzentren und Public Clouds

September 13, 2016
Read blog post
Cybersecurity

Ransomware-Lehren von Julius Caesar

June 28, 2016
Read blog post
Threat detection

Wird IDS zukünftig wieder als zuverlässige Angriffserkennung akzeptiert?

January 12, 2016
Read blog post